과학기술정보통신부가 SK텔레콤 유심 정보 유출 사고에 대한 조사를 마친 뒤 보안체계 전반의 허점과 관리 부실을 꼬집으며 다중 인증 도입, 암호화 강화, 보안 거버넌스 개선 등을 요구했다.
4일 과기정통부가 발표한 민관합동조사단의 최종 조사 결과에 따르면 SK텔레콤은 ▲계정정보 관리 부실 ▲과거 침해사고 대응 미흡 ▲주요 정보 암호화 조치 미흡 등 3가지 문제점이 확인됐다.
아울러 계정정보 관리가 부실하고 주요 정보 암호화 조치가 미흡한 점에 대해서는 6종의 재발 방지 대책을 제시했다.
과거 침해사고 신고를 지연·미신고한 건에는 정보통신망법에 따라 과태료를 부과하고, 자료보전 명령을 위반한 사례에 관해서는 수사기관에 수사를 의뢰할 예정이다.
2021년 8월 악성코드 침입...유심정보 9.82GB 유출
SK텔레콤은 지난 4월18일 오후 11시 20분 네트워크에서 평소보다 이례적으로 많은 데이터가 외부로 전송된 정황을 포착한 뒤 이후 자체 분석을 통해 해킹 가능성을 인지한 SK텔레콤은 4월20일 오후 4시 46분, 한국인터넷진흥원(KISA)에 침해사고 사실을 신고했다.
정부는 이동통신사의 가입자 인증 핵심정보인 유심(USIM) 관련 데이터가 포함된 중대한 보안 침해 사고로 판단하고 4월23일 한국인터넷진흥원, 국정원, 민간 전문가가 참여하는 민관합동조사단을 구성하고 본격적인 사고 조사에 돌입했다.
조사단은 ▲사고 경위 ▲유출 규모 ▲침입 경로 및 악성코드 분석 등을 중심으로 정밀 조사에 착수했다.
조사 결과에 따르면 해킹 사고의 시작은 2021년 8월로 특정됐다. 당시 해커는 외부 침입이 가능한 시스템 관리망에 있는 서버A에 접속 후 원격제어, 백도어 기능 등이 포함된 악성코드(CrossC2)를 2021년 8월6일 설치했다. 이후 서버A에 저장된 타 서버들의 계정정보(ID, 비밀번호 등)를 통해 서버B에 침투했다.
당시 서버B에는 가입자 정보를 관리하는 핵심 시스템 '음성통화인증(HSS)' 관리서버에 접속할 수 있는 계정정보가 저장돼 있었다. 이를 통해 해커는 HSS 관리서버에 접속 후 HSS 관리서버 및 HSS에 'BPFDoor'를 설치했다. BPFDoor는 방화벽을 우회해 몰래 침입하고 명령을 주고받을 수 있게 만든 은밀한 백도어 악성코드다.
이후로도 해커는 고객 관리망을 비롯한 여러 서버에 웹쉘, BPFDoor 등 악성코드를 설치하며 서버 감염 범위를 넓혔다.
결국 올해 4월18일 해커는 HSS 3개 서버에 저장된 유심정보를 유출했다. 이때 유출된 정보량은 9.82GB다.
SKT 서버 전수 조사, 재발 방지 대책 권고
조사단은 이번 침해사고로 총 28대 서버에 대해 포렌식 분석을 진행한 결과, BPFDoor 27종을 포함한 총 33종의 악성코드를 확인했다. 이 중에는 타이니쉘(3종), 웹쉘(1종), CrossC2·슬리버 등 오픈소스 악성코드도 포함돼 있었다. 조사단은 관련 정보를 백신사, 국정원, 경찰청 등과 공유하고, 보안 점검 가이드를 보호나라 누리집을 통해 배포했다.
유출된 데이터는 유심 관련 정보 25종(9.82GB)이며, IMSI 기준 약 2천696만 건에 달하는 것으로 확인됐다. IMSI는 통신사 가입자 정보를 식별할 수 있는 민감한 데이터로, 향후 2차 범죄로의 악용 가능성이 제기됐으나, 현재까지 관련 피해 신고는 접수된 바 없는 것으로 알려졌다.
또한 조사단은 감염된 서버 중 2대에서 IMEI와 개인정보가 평문으로 저장, 또 다른 1대에서는 통화기록(CDR)이 평문으로 임시 저장돼 있었다고 밝혔다. 해당 서버의 방화벽 로그를 분석한 결과, 로그가 남아있는 기간에는 유출 정황이 없었으나, 로그가 존재하지 않는 시기(최대 2년 반)에 대해서는 유출 여부를 확인할 수 없었다.
조사단은 SK텔레콤 유심정보 유출 사고와 관련해 약 4만2천대의 서버에 대한 대대적인 악성코드 감염 조사를 실시한 결과, 총체적인 정보보호 체계 부실을 확인하고 재발 방지 대책을 제시했다.
먼저 국내 1위 이동통신사의 침해사고이자 유심정보 유출로 인한 2차 피해 우려가 큰 중대 사고로 판단하고, 지난 4월23일부터 6월27일까지 SK텔레콤의 전체 서버 4만2천605대를 대상으로 BPFDoor 등 은닉성이 높은 악성코드 감염 여부를 전수조사했다. 감염이 의심되거나 확인된 서버에 대해서는 포렌식 등 정밀 분석도 병행해 피해 발생 여부까지 확인하는 이례적으로 강도 높은 조치가 이뤄졌다.
조사 결과, SK텔레콤의 보안 체계는 계정정보 평문 저장, 유심 인증키 비암호화, 과거 침해 정황에 대한 미조치 및 미신고 등 다수의 문제점을 드러났다.
특히 2021년부터 음성통화인증 서버(HSS)에 악성코드가 침투해 있었지만, SK텔레콤은 2022년 서버 재부팅 과정에서 이상 징후를 감지하고도 전체 로그를 확보하지 못해 침입 사실을 파악하지 못했고, 법령상 침해사고 신고 의무를 이행하지 않았다. 이에 정보통신망법을 따라 과태료(3천만원 이하)를 부과할 예정이다.
관련기사
- 李대통령, SKT 침해사고에 "계약 해지에 회사 귀책사유로 손해 없어야”2025.07.03
- [ZD 브리핑] SKT 침해사고 결과 나온다...국회 2차 추경안 논의 본격화2025.06.29
- SKT 가입자 이탈 멈췄다...영업재개 첫날 257명 순증2025.06.25
- 영업재개 첫날...SKT, 아이폰16·갤럭시S24 공시지원금 인상2025.06.24
또한 통신망법상 자료보존 명령이 내려진 후에도 SK텔레콤은 포렌식이 불가능한 상태로 서버 일부를 임의 조치해 제출한 사실이 확인돼, 정부는 수사기관에 수사 의뢰 방침을 밝혔다.
정부는 이번 사고를 계기로 SK텔레콤에 ▲모든 서버 접속에 다중인증 도입 ▲Ki값 등 주요 정보 암호화 저장 ▲EDR·제로트러스트 등 보안솔루션 확대 적용 ▲분기별 전체 자산 보안 점검 의무화 ▲협력사 SW 유입 관리 강화 ▲정보보호 최고책임자(CISO)를 CEO 직속으로 격상하는 등의 6대 재발 방지 대책을 권고했다.
